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APRESENTAÇÃO 


ALeinº 13.709/2018, Lei Geral de Proteção de Dados Pessoais ou LGPD, 
é de suma importância, pois visa à segurança jurídica, padronizando normas e 
práticas, promovendo a proteção de dados pessoais de todos os cidadãos, em 
âmbito nacional. 

Com a LGPD, o Brasil é inserido no seleto grupo de países com legislação 
específica sobre proteção de dados pessoais. 

Por isso, este Guia foi desenvolvido com o intuito de apresentar os pontos 
relevantes da Lei Geral de Proteção de Dados - LGPD, portanto seu conteúdo 
possui caráter meramente informativo e não substitui o aconselhamento jurídico, 
caso necessário. 

Considerando que a principal razão de existir dos órgãos de governo 
é servir ao interesse da população, o propósito desta cartilha é informar aos 
gestores públicos os pontos primordiais da legislação de proteção de dados, 
promovendo a conscientização, elucidar os principais conceitos e aspectos da 


LGPD, bem como destacar a importância da conformidade com a referida lei. 
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O QUE É A LGPD? 


A LGPD, Lei nº 13.709/2018, ou Lei Geral de Proteção de Dados Pessoais, regula 
a atividade sobre o uso de dados pessoais, de colaboradores e de terceiros, por todos 
os tipos de organizações que operam em território brasileiro, estabelecendo rigorosas 
sanções, em caso de descumprimento de suas determinações. 

A elaboração da LGPD foi pautada no General Data Protection Regulation (GDPR), 
Regulamento de Proteção de Dados da União Europeia. 

No Brasil, a proteção de dados possui natureza jurídica de direito e garantia 
fundamental, com base no inciso XII-A do art. 5º e o inciso XXX do art. 22 da Constituição 
Federal, acrescentados pela Emenda Constitucional nº 17. 

Sua aplicação se estende a qualquer pessoa, natural ou jurídica, de direito público ou 
privado, que realize o tratamento de dados pessoais, online e/ou offline, com as seguintes 
exceções: 


A LGPD não se aplica a determinados 
tratamentos de dados pesoais. 


Quais são eles? 


Realizado por pessoa natural para fins 
exclusivamente particulares e não econômicos; 


Realizado para fins exclusivamente: 
jornalísticos, artísticos e acadêmicos; 


Realizado para fins exclusivos de: segurança 
pública, defesa nacional, segurança do Estado 
e atividades de investigação e repressão de 
infrações penais. 


AANPD, por meio da Nota Técnica 3/2023, concluiu pela não incidência 
da LGPD no caso de tratamento de dados pessoais de pessoas falecidas. 


Assim, a importância da referida Lei se reflete em maior segurança jurídica e 


proteção aos direitos dos titulares de dados. 


O que é a LGPD? 


QUAL A RELAÇÃO DA LGPD COM A ADMINISTRAÇÃO 
PÚBLICA? 


Como mencionado anteriormente, a Lei Geral de Proteção de Dados busca dar 
uniformidade e segurança jurídica ao tema da proteção de dados pessoais. Nessa tentativa, 
a LGPD terá incidência não só no âmbito privado, mas também no poder público. 

No entanto, considerando que a relação entre administração pública e cidadão é 
diferente da relação entre ente privado e indivíduo, a LGPD destinou um capítulo próprio à 
esfera pública (arts. 23 a 30 da LGPD). Na maioria das vezes, o tratamento de dados feito 
pelo poder público decorre do cumprimento de seus deveres constitucionais e legais. 

Ainda, ao mesmo tempo em que buscará promover a tutela da proteção dos dados 
pessoais, o poder público também deverá observar outros princípios como o da eficiência 
(art. 37 da CF) eo da transparência (Lei do Acesso à Informação). Tal peculiaridade sinaliza, 
de antemão, o grande desafio que a administração terá de enfrentar. 

Outro ponto crítico é o compartilhamento de dados entre órgãos da administração 
pública ou entre eles e a iniciativa privada para finalidades distintas da que motivou a coleta 
originária do dado. 

Tal compartilhamento pode violar os princípios da finalidade e da adequação 
previstos na LGPD. 

Os artigos 23 a 30 da Lei Geral de Proteção de Dados tratam, especificamente, da 
sua relação com o poder público. 

A esse respeito, faz-se menção a uma decisão do Supremo Tribunal Federal, que 
suspendeu o compartilhamento dos dados de consumidores de serviços de telecomunicações 
com o Instituto Brasileiro de Geografia e Estatística - IBGE, para fins de produção estatística 
durante a pandemia (Medida Cautelar em Ação Direta de Inconstitucionalidade nº 6.387/ 
DF). 

Outro aspecto importante é a inserção de cláusulas e atribuições de deveres e 
de responsabilidade nos contratos firmados pela administração pública, quando esses 
envolvam o tratamento de dados pessoais. 

Também deverá ser exigido pela Administração que a contratada adote política de 
proteção de dados em conformidade com a LGPD, entre outras medidas. 


Qual a relação da LGPD com a administração pública? 


INTERFACE ENTRE LAI E LGPD 


As disposições da Lei de Acesso à Informação (LAI) reforçam os direitos dos titulares 
previstos na LGPD no que tange ao acesso e à transparência. 

Assim, os titulares poderão obter acesso aos dados pertinentes à sua pessoa, 
tratados pelas instituições públicas, bem como todas as informações relacionadas ao 
tratamento dos seus dados, numa espécie de “prestação de contas” ou accountability. 

Por outro lado, com a entrada em vigor da LGPD, a administração pública precisará 
ter um cuidado especial com os dados que irá publicar ao promover a transparência passiva 
ou ativa. 

O que pode ou não ser publicado, em situações que envolvam dados pessoais, 
deverá ser avaliado no caso concreto e justificado à luz das normas e princípios aplicáveis. 


Interface entre LAle LGPD 
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CONCEITOS IMPORTANTES 


DADO PESSOAL - é qualquer informação relacionada a 
uma pessoa física que a identifique ou a torne identificável. 
Explicando melhor, o dado pessoal pode ser suficiente para 
identificar de imediato seu titular ou permitir que, por meio 
de associação a outros dados, seja possível identificá-lo. 
Exemplo: RG, CPF, e-mail, geolocalização, CNH, telefone. 


DADO SENSÍVEL - corresponde a toda informação relacionada 


a origem racial ou étnica, convicção religiosa, opinião política, 
filiação a sindicato, organização de caráter religioso, filosófico ou político; à saúde ou à vida 
sexual, dado genético ou biométrico. Exemplo: biometria, exames de saúde. 


DADOS 
SENSÍVEIS 


É importante registrar que os dados sensíveis só devem ser solicitados ao titular 
quando forem imprescindíveis à operação de tratamento, pois são informações que podem 
causar danos mais gravosos ao titular, em caso de incidente de segurança. 


Existem os dados pessoais de acesso público, que devem ser tratados 
considerando a finalidade, a boa fé e o interesse público que justificaram sua 
disponibilização. (art. 7º, 8 3º, LGPD). Exemplos: 


* dado pessoal que esteja disponível à consulta pública gratuita por obrigação 
legal; dados de cartórios públicos; 


* Diários Oficiais; 
* dados de servidores públicos. 


E existem os dados pessoais tornados manifestamente públicos pelo titular, cuja 
iniciativa é do próprio titular de tornar o dado de conhecimento público. (art. 7º, 8 4º, 
LGPD). Exemplos: 


* dado pessoal publicado em perfis de redes sociais; 


* dado pessoal publicado em sites e blogs do próprio titular. 


Conceitos importantes 


TITULAR DE DADOS - é pessoa física, que é a verdadeira dona do dado pessoal. 
Por exemplo, VOCÊ, que está lendo esta cartilha, é um titular de dados! 

ANPD - Autoridade Nacional de Proteção de Dados, órgão da administração pública 
responsável por zelar, implementar e fiscalizar o cumprimento dos dispositivos da LGPD. 
Responsável, também, pela aplicação de sanções previstas na LGPD. Site da ANPD: 
https://www.gov.br/anpd/pt-br | Instagram: https:/Avww.instagram.com/anpdgovbr/. 

CONTROLADOR - é quem toma as decisões sobre o tratamento dos dados 
pessoais. Seu empregador é controlador dos seus dados, assim como a rede social que 
você usa, controla os seus dados nesse contexto de tratamento. 

CONTROLADORIA CONJUNTA - Quando dois ou mais controladores possuem 
interesses mútuos, com base em finalidades próprias, sobre um mesmo tratamento. 


Os controladores conjuntos são capazes de determinar os elementos 
essenciais do tratamento. Essa decisão é tomada de maneira coletiva, mas 
não há a necessidade de que cada controlador determine todos os elementos 
envolvidos em uma operação de tratamento para que a controladoria conjunta 
se estabeleça. 


Para evidenciar a controladoria conjunta, os seguintes elementos devem ser 


observados: 


Decisão * Mais de um controlador possui poder de 
decisão sobre o tratamento de dados pessoais. 


*- Há mútuo interesse de dois ou mais 
Interesse controladores, com base em finalidades 


próprias, sobre um mesmo tratamento. 


* Dois ou mais controladores tomam decisões 


Finalidade comuns ou convergentes sobre as finalidades e 


elementos essenciais do tratamento. 


OPERADOR - normalmente é a pessoa ou empresa que é contratada pelo 
controlador para tratar o dado em seu nome. Por exemplo, a empresa contratada por outra 
que fornece uma plataforma remota para ensino. 

ENCARREGADO OU DATA PROTECTION OFFICER (DPO) - pessoa física ou 
jurídica, indicada pelo Controlador, para ser a ponte entre o Controlador, os Titulares de 
dados e a ANPD, bem como orientar os funcionários do Controlador sobre boas práticas de 
tratamento de dados, entre outras. 


Conceitos importantes 


Aidentidade e as informações de contato do 
encarregado devem ser divulgadas publicamente, 
de forma clara e objetiva. 

Para entender mais sobre o Controlador, 
Operador e Encarregado de Dados, com exemplos 
práticos, a ANPD possui um Guia Orientativo sobre 
os Agentes de Tratamento de Dados Pessoais e o 
Encarregado. 


BANCO DE DADOS - Conjunto estruturado 
de dados pessoais que são objeto de tratamento. 


TRATAMENTO DE DADOS - Tratamento de dados é qualquer operação realizada 
com dados pessoais, incluindo coleta, produção, recepção, classificação, utilização, acesso, 
reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, 
eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, 
difusão ou extração. 

O tratamento contempla todo o ciclo de vida do dado pessoal, desde a sua coleta 
até o final da operação para qual foi coletado, o que deve ser feito por agentes legalmente 
autorizados, de forma transparente e com respeito à intimidade, à vida privada, à honra e 
imagem das pessoas, bem como às liberdades e garantias individuais. 

Segundo o Guia de Boas Práticas do Governo Federal!, a fases do ciclo de 
tratamento são: 


OPERAÇÕES DE TRATAMENTO 


FASE DO CICLO DE TRATAMENTO (ART. 5º, X, LGPD) 


COLETA Coleta, produção e recepção 
RETENÇÃO Arquivamento e armazenamento 
Classificação, utilização, reprodução, 
processamento, avaliação (ou 
PROCESSAMENTO controle da informação), extração e 
modificação 
Transmissão, distribuição, 
LI comunicação, transferência e difusão 
ELIMINAÇÃO Eliminação 


INCIDENTES DE SEGURANÇA - é a ocorrência identificada de um sistema, serviço 
ou rede, que indica uma possível violação da política de Segurança da Informação ou 
falha de controles, ou uma situação previamente desconhecida, que possa ser relevante 
para a Segurança da Informação. Aqui estão os vazamentos de dados, que são situações 
acidentais ou ilícitas de acessos não autorizados a dados pessoais. 


1 <https://Awww.gov.br/governodigital/pt-br/governanca-de-dados/guia-de-boas-praticas-lei-geral-de-protecao-de-da- 
dos-lgpd>. 


Conceitos importantes 


TRANSFERÊNCIA INTERNACIONAL DE DADOS - transferência de dados 
pessoais para país estrangeiro ou organismo internacional do qual o país seja membro. 

A transferência internacional pode ocorrer tanto por meio de acordos de cooperação 
técnica e contratação de empresas que operem em países distintos do Brasil quanto pelo 
uso de aplicativos como Google Drive e Zoom Meeting, além de publicações em revistas 
científicas nas quais, sempre que possível, os dados deverão ser anonimizados. 

ANONIMIZAÇÃO DE DADOS - processos e técnicas por meio dos quais um dado 
perde a possibilidade de associação, direta ou indireta, a um indivíduo. 


IDADE: 62 anos IDADE: 62 anos 


NOME: Larissa Teixeira Silva > NOME: Larissa xxx 
CPF: 987.654.321-00 CPF: xxxx 


PSEUDONIMIZAÇÃO — Tratamento por meio do qual um dado perde a possibilidade 
de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional 
mantida separadamente pelo controlador em ambiente controlado e seguro. 

Para mais conceitos relacionados à proteção de dados pessoais, a ANPD publicou, 
em janeiro de 2024, a primeira versão do Glossário de Proteção de Dados Pessoais, com 
o posicionamento oficial da Autoridade sobre o significado dos principais conceitos, termos 
e expressões usados na legislação e regulação de proteção de dados pessoais do Brasil. 


Conceitos importantes 
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PRINCÍPIOS LEGAIS PARA O TRATAMENTO DOS DADOS 
PESSOAIS 


A LGPD é considerada uma lei de base principiológica, pois constitui uma série de 
princípios que possuem como objetivo maior proteção à privacidade do cidadão. 

Ou seja, as atividades de tratamento de dados pessoais deverão observar a boa-fé 
e os seguintes princípios: 

NECESSIDADE - limitação do tratamento ao necessário para a realização de suas 
finalidades. 

FINALIDADE - realização do tratamento para propósitos legítimos, específicos, 
explícitos e informados ao titular, sem tratamento posterior. 

ADEQUAÇÃO - compatibilidade do tratamento com as finalidades informadas ao 
titular, de acordo com o contexto do tratamento. 

LIVRE ACESSO - garantia aos titulares de consulta facilitada e gratuita sobre a 
forma e a duração do tratamento. 

NÃO DISCRIMINAÇÃO - impossibilidade de realização do tratamento de dados 
pessoais para fins discriminatórios, ilícitos ou abusivos. 

PREVENÇÃO - adoção de medidas para prevenir a ocorrência de danos em virtude 
do tratamento de dados pessoais. 

QUALIDADE DOS DADOS - garantia aos titulares de exatidão, clareza, relevância 
e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade 
de seu tratamento. 

RESPONSABILIZAÇÃO E PRESTAÇÃO DE CONTAS - demonstração pelo agente 
da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento 
das normas de proteção de dados pessoais e da eficácia dessas medidas. 


Princípios legais para o tratamento dos dados pessoais 
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BASES LEGAIS (HIPÓTESES) QUE AUTORIZAM O 
TRATAMENTO DOS DADOS PESSOAIS 


No tratamento de dados pessoais e dados pessoais sensíveis, 
é necessário que, além da observância aos princípios, haja uma 
hipótese legal que justifique e legitime essa atividade. 

A LGPD estabelece diversas hipóteses de tratamento que 
podem fundamentar o tratamento de dados pessoais, nos termos dos 


artigos 7º e 11. Vamos conhecer algumas das hipóteses”? 


CONSENTIMENTO 


Para começo de conversa: NEM TUDO É CONSENTIMENTO! 

O consentimento fornecido pelo titular é a manifestação livre, informada e inequívoca 
pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade 
determinada. 

Numa linguagem bem simples é o caso em que a pessoa concorda com o uso 
dos seus dados pessoais para as finalidades informadas pelos órgãos da Administração 
Pública Direta, suas Autarquias e Fundações. 

Quando escrito, deverá ser obtido em termo ou cláusula destacada das demais, 
para garantir que o titular tenha ciência das finalidades específicas para as quais está 
fornecendo seus dados (art. 8º, 84º). 

A lei listou os requisitos, sendo que o consentimento precisa ser: 


* livre, ou seja, voluntário, sendo uma escolha do usuário; 


*— informado, o que significa dizer que o usuário deve entender com o que está 
consentindo; 


* | inequívoco, quer dizer, o usuário deve indicar sua aceitação, seja por um clique 
em determinado local do site, por exemplo. 


EXECUÇÃO DE POLÍTICAS PÚBLICAS 


Esta base legal é utilizada pela Administração Pública, para o tratamento e uso 
compartilhado de dados necessários à execução de políticas públicas previstas em leis 
e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, 
observadas as disposições dos artigos 23 a 32 da LGPD. 

Observando que com esta hipótese de tratamento de dados, não é necessário obter 
o consentimento do titular dos dados pessoais, que, mesmo a esse respeito, tem o direito 
de conhecer as hipóteses legais autorizativas do processamento de seus dados, bem como 
a finalidade e a forma do tratamento. 


Bases legais (hipóteses) que autorizam o tratamento dos dados pessoais 


Alguns exemplos de consecução de políticas públicas: Pagamento de auxílios em 
geral, como o Bolsa Família. 


LEGÍTIMO INTERESSE 


Legítimo Interesse é a base legal utilizada quando o tratamento dos dados pessoais 
é necessário para atender interesse legítimo do controlador ou de terceiro, exceto se 
predominarem direitos e liberdades fundamentais do titular que requisitem a proteção dos 
dados pessoais. 

Esta hipótese não é utilizada para tratamento de dados pessoais sensíveis. 

A escolha dessa base legal demanda a realização de um teste de proporcionalidade 
ou Legitimate Interest Assessment (LIA), no qual serão avaliadas as finalidades legítimas; a 
necessidade do tratamento dos dados; o balanceamento entre os interesses da empresa e 
os direitos fundamentais dos titulares dos dados pessoais; e as salvaguardas empregadas 
para mitigar riscos e assegurar transparência ao processo. 

Lembrando que esta hipótese pode ser aplicada por órgãos e entidades públicas, 
somente quando o tratamento não se aplicar à execução de políticas públicas ou 
competências legais do controlador. (art. 7º, Ile III, LGPD). 

Por ser uma base legal com tantos desdobramentos e especificidades, a ANPD 
tomou o cuidado de lançar, em fevereiro de 2024, o Guia Orientativo das Hipóteses Legais 
de Tratamento de Dados - Legítimo Interesse, com o objetivo de esclarecer os pontos 
relevantes para a aplicação da hipótese legal do legítimo interesse de controladores ou de 
terceiros, inclusive no âmbito do poder público. 


CUMPRIMENTO DE OBRIGAÇÃO LEGAL 


Otratamento dos dados pessoais para cumprimento de obrigação legal ou regulatória 
é justificado por exigência de outras leis. Esta base legal se concretiza por força de lei ou 
para garantir a ordem e segurança social. 

Esta hipótese dispensa o consentimento do titular do 
dado, já que o titular não pode se opor ao compartilhamento 
de dados, visto que é para cumprimento de obrigação legal/ 
regulatória por parte do Controlador. 

Assim, a LGPD não entra em conflito com outras 
legislações e regulamentos vigentes, como, por exemplo, a 
Lei de Acesso à Informação - LAI (Lei nº 12.527/2011), ou a 
Lei nº 12.965/2014 (Marco Civil da Internet). 

Ocorre que, mesmo após o encerramento do vínculo negocial que originou o 


tratamento, é permitido que dados pessoais sejam armazenados, em virtude do cumprimento 
de obrigações do ordenamento jurídico. 


Bases legais (hipóteses) que autorizam o tratamento dos dados pessoais 
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ESTUDOS POR ÓRGÃO DE PESQUISA 


Esta hipótese de tratamento de dados é válida para as entidades públicas e privadas, 
de forma que fica permitido o tratamento de dados pessoais para a realização de estudos 
por órgãos de pesquisa, por isso dispensa o consentimento do titular do dado. 

Neste caso, os dados pessoais podem ser utilizados em pesquisas e desenvolvimento 
científico, social e econômico, sendo que deverá ser garantida, sempre que possível, a 
anonimização dos dados pessoais, por intermédio de procedimentos que não possibilitem 
a associação de um dado a um indivíduo. 

Lembrando que a ANPD possui, desde junho de 2023, um Guia Orientativo para 
o Tratamento de dados pessoais para fins acadêmicos e para a realização de estudos e 
pesquisas. 


EXECUÇÃO DE CONTRATO 


Quando necessário para a execução de contrato ou de procedimentos preliminares 
relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados, por isso 
dispensa o consentimento do titular. 


EXERCÍCIO REGULAR DE DIREITOS 


Para o exercício regular de direitos em processo judicial, administrativo ou arbitral, 
esse último nos termos da Lei nº 9.307/1996 (Lei de Arbitragem). 

Esta hipótese dispensa o consentimento do titular dos dados e a proteção dos dados 
pessoais não compromete o direito que as partes têm de produzir provas umas contra as 
outras. 


PROTEÇÃO DA VIDA 

Para a proteção da vida ou da incolumidade 
física do titular ou de terceiro. Esta hipótese dispensa 
o consentimento do titular dos dados, pois o tratamento 


“ 


de dados pessoais pode ser realizado quando for 
necessário para a proteção da vida ou segurança física 
do titular ou terceiro porque se trata de tutelar o bem 


maior, que é a vida. 


TUTELA DA SAÚDE 


Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais 
de saúde, serviços de saúde ou autoridade sanitária, sendo que esta hipótese dispensa o 
consentimento do titular dos dados. 


Bases legais (hipóteses) que autorizam o tratamento dos dados pessoais 
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PROTEÇÃO DE CRÉDITO 


Para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente. O 
consentimento continua necessário para situações de tratamento de dados relacionados ao 
crédito, apenas havendo exceção no caso da proteção do crédito. 

Por exemplo, no caso de análise de crédito, é possível que os dados pessoais sejam 
consultados para avaliação do perfil de pagador do cidadão. 

Esta é a garantia que os órgãos de proteção têm para incluir dados pessoais dos 
consumidores em cadastros positivos sem o consentimento do titular. Desta forma, o SPC 
está amparado pela LGPD, evitando que pessoas de má-fé tentem ocasionar calotes, 
alegando a utilização de dados pessoais. 
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TRATAMENTO DE DADOS DE CRIANÇAS E ADOLESCENTES 


As crianças (de zero até 12 anos 
incompletos) e adolescentes (entre 12 
e 18 anos), devem ser merecedoras 
de tratamento de dados realizado com 
muita cautela, principalmente pelo Poder 
Público. 


Basta pensar nos milhares de 
estudantes da Rede Pública de Ensino. 
Este vasto banco de dados está na 
posse do Poder Público há muitos anos 


e, somente com a LGPD, é que surgiu 
a necessidade legal de adotar medidas 
técnicas para a devida proteção do 
mesmo. 

Assim, o tratamento de dados 
pessoais de crianças e adolescentes será efetivado em seu “melhor interesse”, sendo que 
deverá ser realizado com o consentimento específico e em destaque por, pelo menos, um 
dos pais ou do responsável legal, mesmo que se trate de execução de políticas públicas. 

Porém, a LGPD prevê que o consentimento poderá ser dispensado quando a coleta 
dos dados for necessária: 


* para contatar os pais ou o responsável legal; 


* | para a proteção do menor. 


Mas, os dados só poderão ser utilizados uma única vez, vedado seu armazenamento 
e repasse a terceiros sem consentimento específico. 

Claro está que a Administração Pública deverá se adequar aos ditames da LGPD 
também neste sentido, uma vez que o ônus da prova é sempre do Controlador. 

Em caso de realização de matrículas escolares, por exemplo, deverá haver prova 
inequívoca do consentimento pelo responsável da criança, consideradas as tecnologias 
disponíveis, bem como o tratamento se limitar ao mínimo necessário para a realização das 


finalidades (princípio da necessidade, art. 6º, III, LGPD). 


Tratamento de dados de crianças e adolescentes 


13 


A ANPD, por meio do Enunciado CD/ANPD n.º 1/2023, uniformizou a interpretação 


da legislação quanto às hipóteses legais que autorizam o tratamento de dados de crianças 
e adolescentes, nos seguintes termos: 


O tratamento de dados pessoais de crianças e adolescentes poderá ser 
realizado com base nas hipóteses legais previstas no art. 7º ou no art. 11 da 
Lei Geral de Proteção de Dados Pessoais (LGPD), desde que observado e 
prevalecente o seu melhor interesse, a ser avaliado no caso concreto, nos 
termos do art. 14 da Lei. 


Ainda que se trate de dados relacionados a crianças e adolescentes, a LGPD não 
se aplica aos casos de segurança pública, para fins de investigação e repressão penal. 


Tratamento de dados de crianças e adolescentes 
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TRATAMENTO DE DADOS DE IDOSOS 


A ANPD deve garantir que o 
tratamento de dados de idosos seja efetuado 
de maneira simples, clara, acessível e 
adequada ao seu entendimento, nos termos 
da LGPD e do Estatuto do Idoso. 
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TRATAMENTO DOS DADOS DE PESSOAS FALECIDAS 


A ANPD, através da a Nota Técnica nº 3/2023, firmou posicionamento pela não 
incidência da LGPD em casos de tratamento de dados de pessoas já falecidas. Vejamos: 


A LGPD se aplica apenas a informações relacionadas a pessoas naturais, ou 
seja, vivas, identificáveis ou identificadas. Os dados relativos a uma pessoa 
falecida não constituem dados pessoais para fins de LGPD e, portanto, não 
estão sujeitos ao nível de proteção da LGPD. 

Este posicionamento da Autoridade se deu a partir de um questionamento da Polícia 
Rodoviária Federal sobre o uso de nome e sobrenome de servidores falecidos com a 
finalidade de homenageá-los. 

Segundo a Coordenação-Geral de Fiscalização (CGF) da ANPD, de acordo com o 
art. 6º do Código Civil, a existência da pessoa natural termina com a morte. Desta forma, 
pressupõe-se que a incidência da LGPD se dá apenas no âmbito do tratamento de dados 
pessoais de pessoas naturais vivas. 

Além disso, cita que outras normas do ordenamento jurídico brasileiro “visam 
proteger os direitos de pessoas falecidas, como o direito sucessório e os direitos de 
personalidade do Código Civil, que incluem o direito ao nome e à imagem. Nesse cenário, 
quando aplicáveis, os direitos de personalidade podem ser utilizados como ferramentas 
de proteção dos interesses das pessoas falecidas, sendo a proteção de dados pessoais 
inadequada para defesa desses interesses”. 


Tratamento dos dados de pessoas falecidas 
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DIREITOS DO TITULAR DE DADOS 


Segundo o artigo 18, da LGPD, os titulares poderão solicitar, a qualquer momento: 


- confirmar se existem dados seus tratados pela organização; 
- acessar aos dados que são tratados pela organização; 


- corrigir os dados pessoais que estejam incorretos, inexatos ou desatualizados, 
exemplo: mudança de telefone, endereço; 


- solicitar a anonimização, bloqueio e/ou eliminação dos dados pessoais; 
- solicitar a portabilidade dos dados a outro fornecedor de serviço ou de produto; 


- ser informado sobre as consequências de não fornecer o consentimento para que 
seus dados sejam tratados; 


- revogar o consentimento dado para o uso dos seus dados; 


- ser informado com quem a organização, seja pública ou privada, compartilhou ou 
tem compartilhado seus dados. 


Direitos do titular de dados 17 


COMO O TITULAR PODE EXERCER SEUS DIREITOS 


O titular do dado pessoal tem direito de obter, a qualquer momento e mediante 
requerimento, informações sobre os dados pessoais. 

O pedido de acesso às informações deverá conter a identificação do requerente e a 
especificação da informação requerida. 

O acesso à informação deverá ser imediato, se esta estiver disponível. Não sendo 
possível apresentar imediatamente, a administração deverá, no prazo de até 20 dias, 
podendo este prazo ser prorrogado por mais 10 dias, mediante justificativa expressa. 

As informações serão oferecidas em formato digital ou impresso, lembrando que 
pela economicidade, orienta-se a primeira opção, sempre que possível, contanto que não 
afaste o cidadão do exercício ao seus direitos. 

Além disso, o requerimento administrativo quando formulado pelo titular do dado é 
gratuito, salvo nas hipóteses de reprodução de documentos pelo órgão ou entidade pública 
consultada, situação em que poderá ser cobrado exclusivamente o valor necessário ao 
ressarcimento do custo dos serviços e dos materiais utilizados. 

Estará isento de ressarcir esses custos a todo aquele cuja situação econômica não 
lhe permita fazê-lo sem prejuízo do sustento próprio ou da família. Se o acesso aos dados 
constar de documento cuja manipulação possa prejudicar sua integridade, deverá fornecer 
cópia, com certificação de que esta confere com o original. 

Na impossibilidade de oferecer cópias, o titular do dado poderá solicitar que, às suas 
expensas e sob supervisão de um servidor público, a reprodução seja feita por outro meio 
que não coloque em risco a conservação do documento original. 


M 
M 
M 
M 


Como o titular pode exercer seus direitos 
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COMO ATENDER AS SOLICITAÇÕES DO TITULAR DO 
DADO 


O titular do dado poderá, a qualquer momento, peticionar ao encarregado, 
preenchendo formulário eletrônico a ser disponibilizado no sítio eletrônico do TJRR, a fim 
de obter informações em relação aos dados tratados, ou diretamente à Autoridade Nacional 
de Proteção de Dados (ANPD), pois é atribuição dessa autoridade zelar pela proteção de 
dados pessoais, bem como exercer a fiscalização e controle sobre o tratamento de dados 
pessoais realizado pela poder público. 

O requerimento deverá conter a assinatura expressa pelo titular do dado ou seu 
representante legalmente constituído. 

Conforme previsão do artigo 23, 8 3º, da LGPD, o titular que tenha dados tratados 
pelo poder público poderá exercer seu direito com base nos prazos e procedimentos 
dispostos em legislação específica, em especial as disposições constantes na Lei 12.527, 
de 18 de novembro de 2011 (Lei de Acesso à Informação) e na Lei 9.507, de 12 de novembro 
de 1997 (Lei do Habeas Data), por exemplo. 


Atenção! Embora a LGPD preveja que um dos direitos do titular seja a solicitação 


de eliminação de seus dados, os órgãos públicos estão submetidos a legislações 
específicas que nem sempre permitirão o atendimento dessa solicitação. Neste caso, 
durante a resposta ao titular, deverão ser indicadas as razões do impedimento. 


Como atender às solicitações do titular do dado 
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TÉRMINO DO TRATAMENTO DE DADOS 


Segundo a LGPD, o término do tratamento dos dados pessoais ocorrerá nas 
seguintes situações: 


* quando a finalidade foi alcançada ou de que os dados deixaram de ser neces- 
sários para o alcance da finalidade; 


* quando finalizar o período de tratamento; 


* | se o titular solicitar a revogação do consentimento, resguardado o interesse 
público; 


* por determinação da ANPD. 
Em contrapartida, os dados pessoais não serão eliminados quando: 
*— forem necessários ao cumprimento de obrigação legal pelo Controlador; 
*— forem necessários para estudo por órgão de pesquisa; 
* | houver transferência a terceiro; 


*- for de uso exclusivo do Controlador com a garantia da anonimização de seus 
dados. 


Término do tratamento de dados 


20 


GOVERNANÇA EM PRIVACIDADE 


A construção de uma política de governança 
em privacidade, de acordo com a LGPD, são os 
objetivos finais da fase de implantação. 

Até lá, porém, há uma série de etapas a 
serem cumpridas: 


* | Conscientização e sensibilização dos procuradores, servidores e demais cola- 
boradores; 


* | Mapeamento de dados; 

* | Consolidação do Relatório de Inventário de Dados Pessoais e gap assessment; 
* | Elaboração dos documentos pertinentes; 

* | Elaboração de planos de capacitação; 

* | Nomeação do Encarregado; 

* | Criação de um Comitê em Proteção de Dados Pessoais; 


* | Monitoramento e revisão dos processos. 
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DA RESPONSABILIDADE 


De acordo com a LGPD, os operadores devem realizar o tratamento de dados 
conforme as instruções fornecidas pelo controlador, que possui suas responsabilidades. 

O artigo 42, da LGPD estabelece que o controlador ou o operador que causar dano 
patrimonial, moral, individual ou coletivo, no exercício da atividade, em violação à legislação 
de proteção de dados pessoais, é obrigado a repará-lo. 

A responsabilidade entre tais agentes não é solidária. As responsabilidades são 
distintas, podendo ser maiores, no caso do controlador, e menores para o operador. 
Desta forma, devemos exercer nosso trabalho de forma consciente, sabendo que temos 
responsabilidades sobre os dados do cidadão. 

Além disso, pode-se avaliar a incidência do artigo 37 da constituição federal, quando 
comprovado o nexo causal, sendo o ente obrigado à reparação de danos causados e 
comprovados no exercício da atividade de tratamento de dados sempre que um incidente 
de segurança ocorrer e causar danos aos titulares dos dados envolvidos. 

Os agentes não serão responsabilizados quando provarem não terem realizado o 
tratamento de dados, não terem violado a LGPD ou quando o dano for decorrente de culpa 
exclusiva do titular dos dados. 


Da responsabilidade 
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SANÇÕES E FISCALIZAÇÃO 


A LGPD estabelece que a Autoridade Nacional de Proteção de Dados (ANPD) será 


o órgão responsável por zelar, implementar e fiscalizar o cumprimento da legislação de 


proteção de dados, regulando a atuação de empresas e do setor público. 


A ANPD tem, entre outras atribuições, elaborar diretrizes para uma Política Nacional 


de Proteção de Dados Pessoais e Privacidade; fiscalizar e aplicar sanções; promover entre 


a população o conhecimento das normas e das políticas públicas sobre proteção de dados 


pessoais e as medidas de segurança; e promover ações de cooperação com autoridades 


de proteção de dados pessoais de outros países, de natureza internacional ou transacional. 


Caberá à ANPD, exclusivamente, aplicar as seguintes penalidades administrativas 


previstas em lei: 


Atenção! A Resolução CD/ANPD n.º 4/2023 aprovou o Regulamento de Dosimetria 
e Aplicação de Sanções Administrativas. De acordo com o artigo 3º, 8 5º, da referida 
resolução, a penalidade de multa não será aplicada às entidades e órgãos públicos 


no caso de descumprimento da LGPD. 


Advertência, com indicação de prazo para adoção de medidas corretivas; 


Multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica 
de direito privado, grupo ou conglomerado no Brasil no seu último exercício, 
excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões 
de reais) por infração; 


Multa diária, observado o limite total a que se refere o inciso Il; 

Publicização da infração após devidamente apurada e confirmada a sua ocor- 
rência; 

Bloqueio dos dados pessoais a que se refere a infração até a sua regulari- 
zação; 

Eliminação dos dados pessoais a que se refere a infração; 


Suspensão parcial do funcionamento do banco de dados a que se refere a 
infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, 
até a regularização da atividade de tratamento pelo controlador; 


Suspensão do exercício da atividade de tratamento dos dados pessoais 
a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável 
por igual período; 


Proibição parcial ou total do exercício de atividades relacionadas a tratamen- 
to de dados. 


Sanções e fiscalização 
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As sanções serão aplicadas após procedimentos administrativos e seguirão critérios 
como a gravidade da infração e dos direitos pessoais afetados, a boa-fé do infrator, as 
vantagens econômicas auferidas pelo infrator, a reincidência, o grau do dano causado, 
a cooperação do infrator, a adoção e a demonstração de mecanismos e procedimentos 
internos, além de políticas de boas práticas que visem minimizar os danos causados aos 
titulares, bem como observar a proporcionalidade entre a gravidade da falta e a intensidade 
da sanção. 


Cabe destacar algumas decisões de processos fiscalizatórios da ANPD envolvendo 
órgãos públicos: 
- O Instituto de Assistência ao Servidor Público Estadual de São Paulo (IAMSPE) 
foi punida por violar os artigos 48 e 49 da LGPD e, além das sanções aplicadas, 
foi determinando que o órgão adote medidas corretivas para mitigar os efeitos 
decorrentes da infração à LGPD e prevenir que as infrações se repitam. 


- a Secretaria de Saúde do Estado de Santa Catarina (SES-SC) foi sancionada por 
violar os artigos 38, 48 e 49 da LGPD, bem como o artigo 5º, |, do Regulamento 
de Fiscalização. 


- O Instituto Nacional da Seguridade Social (INSS) foi condenado por não 
comunicar a ocorrência de incidente de segurança aos titulares de dados, com o 
agravante de não ter atendido a determinações da ANPD (art. 48 da LGPD e art. 
32 da Resolução CD/ANPD nº 1/2021, respectivamente). O incidente aconteceu 
em 2022 e afetou o Sistema Corporativo de Benefícios do INSS (SISBEN), 
expondo informações como CPF, dados bancários e data de nascimento. 


- a Secretaria de Estado de Educação do Distrito Federal (SEEDF) foi sancionada 
por violar uma série de dispositivos da LGPD e do Regulamento de Fiscalização 
da Autoridade. A ANPD conclui que a Secretaria deixou de manter registro 
de operações de dados pessoais (art. 37 da LGPD); de elaborar Relatório de 
Impacto à Proteção de Dados Pessoais após solicitação da ANPD (art. 38 da 
LGPD); de comunicar aos titulares a ocorrência de incidente de segurança que 
representasse risco ou dano relevante (art. 48 da LGPD); e de usar sistemas que 
atendam aos requisitos de segurança, às boas práticas e aos princípios da LGPD 
(art. 5º do Regulamento de Fiscalização da ANPD). 


Íntegra das Decisões em Processos Sancionadores: 


https://www.gov.br/anpd/pt-br/documentos-e-publicacoes 


As penalidades não administrativas são as seguintes: 
*— Judicialização em ações individuais ou coletivas; 


* | Dano reputacional, à imagem. 
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USO DO SEILE A LGPD 


Muito utilizado no setor público, o Sistema 
Eletrônico de Informações, ou SEI!, contribui para a 


- melhoria dos processos administrativos e confere maior 


transparência aos atos, contudo é importante esclarecer 


e 
sell que a transparência não deve conflitar com o direito de 
” privacidade dos cidadãos. 
O Como não poderia deixar de ser, as regras e 


O princípios previstos na LGPD aplicam-se, também, ao SEI!. 
O SEI! já adota medidas de segurança técnicas 
aptas a evitar vazamento, perda, alteração ou destruição 
de dados nele armazenados, contudo para a completa eficiência da proteção de dados 
pessoais é essencial que todos os servidores e colaboradores que operam o sistema 
conheçam a Lei e adotem métodos cuidadosos na criação e classificação de acesso dos 
processos e documentos eletrônicos. 

De forma simplificada, os usuários do SEI! devem atentar-se a quatro regras básicas 

no tratamento de dados pessoais em processos e documentos eletrônicos: 
* |. Seo processo ou documento tramitado para a Unidade do usuário não for do 


seu interesse ou não for necessário para a execução de suas atividades, ele 
não deve ser acessado; 


* Se o dado pessoal não for uma informação relevante e essencial, não deve 
constar ou ser inserido no documento ou processo; 


* Se a informação pessoal relativa à intimidade, vida privada, honra e imagem 
de uma pessoa determinada, for essencial para o trâmite, o documento que a 
contém deve ser classificado com nível de acesso restrito, se não for essencial 
não deverá constar no processo ou documento; e 


* Se houver necessidade de que um documento que contenha informação pes- 
soal restrita seja publicado, é preciso que os dados pessoais de acesso restrito 
sejam descaracterizados, tarjados ou pseudoanomizados. 

É responsabilidade dos servidores e colaboradores também a guarda e sigilo de 
suas credenciais de acesso ao SEI! e, das chefias, a gestão dos servidores que possuem 
acesso à unidade SEI! que gerenciam como medida de proteção de dados pessoais e de 
segurança da informação. 


Uso do SEl!e a LGPD 
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QUESITOS RELEVANTES 


É permitido pela LGPD, o uso compartilhado de 
dados entre órgãos da Administração Pública? Sim. 
Entretanto, o uso compartilhado de dados pessoais pelo Poder 
Público deve atender às finalidades específicas de execução 
de políticas públicas e atribuição legal pelos órgãos e pelas 
entidades públicas, como por exemplo informações ao INSS, 
eSocial, fiscalizações, etc. 


Existe disposição na LGPD sobre a transferência de dados entre o poder 
público e o setor privado? A LGPD veda a transferência de dados entre o Poder Público 


e as empresas e instituições privadas, exceto nos seguintes casos: 
* | em que os dados forem acessíveis publicamente; 


* | na execução descentralizada de atividade pública que exija essa transferência, 
exclusivamente para esse fim específico; 


*— quando houver previsão legal e a transferência for respaldada em contratos, 
convênios ou acordos;e 


* |. seo objetivo for a prevenção de fraudes e de proteção dos titulares dos dados. 


Quesitos relevantes 
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CONSIDERAÇÕES FINAIS 


Como se percebe, a Lei 13.709/2018 é um marco regulatório e permite uma releitura 
do princípio da privacidade, estabelecendo um rol de direitos e obrigações para os órgãos e 
entidades públicas e privadas que irão demandar a implantação de programa de proteção 
de dados pessoais. 

Por se tratar de programa que envolve políticas e ações permanentes, que são 
essenciais para manter a instituição adequada às normas da LGPD, a jornada para sua 
implantação tem início, mas não tem fim. 

A despeito de muitos desafios que serão enfrentados para a estruturação do 
programa, é inegável que ele representa um grande passo para a melhoria da governança 
em privacidade e proteção de dados pessoais do poder público. 

Juntos, podemos assegurar um futuro no qual a privacidade e a segurança dos 
dados pessoais sejam preservadas, promovendo a confiança e o bem-estar de todos. 


Considerações finais 
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